Características

Todo lo que hace Vigo — aplicación de estado, cumplimiento, seguridad, acceso remoto, orquestación y más. Todas las características incluidas en cada nivel.

Próximo lanzamiento Vigo está en alfa y se acerca a su primera versión estable. Hasta entonces, pueden producirse cambios incompatibles entre versiones — buscamos socios de prueba con flotas significativas en arquitecturas diversas. Más información →

⚡ Aplicación de estado

El núcleo de Vigo. Defina el estado deseado en YAML; los agentes lo aplican de forma idempotente.

69 tipos de recurso

Archivos, paquetes, servicios, usuarios, cron, cortafuegos, Docker, IIS, registro, ACL, certificados, montajes, sysctl, dispositivos de red y más — 68 integrados, más un ejecutor personalizado proporcionado por el usuario para su propia lógica. Cada tipo de recurso comprueba el estado antes de actuar — sin cambios innecesarios.

7 sistemas operativos

Linux, macOS, FreeBSD, OpenBSD, NetBSD, illumos y Windows. Escriba una configuración y el agente delega al backend correcto, incluidos 16 ejecutores basados en SSH para dispositivos de red Cisco, Arista y Juniper.

Lógica condicional y plantillas

Las expresiones when: con lógica booleana y funciones integradas (os_family, has_command, arch, version_ge, is_container, has_service) condicionan cualquier recurso — el servidor evalúa lo que puede y pasa el resto al agente. Las plantillas Go en content: y en archivos source: externos renderizan .Traits y .Vars para configuraciones dinámicas. Sin DSL, sin plugins.

Ejecución ordenada por DAG

depends_on crea un grafo acíclico dirigido. Los recursos se ejecutan en orden topológico. notify y subscribes desencadenan la reaplicación cuando cambia una dependencia. Las dependencias circulares se rechazan al cargar la configuración.

Retracción de configcrate

Declare state: absent en un configcrate y Vigo revierte lo que aplicó en la próxima comprobación: archivos eliminados, paquetes desinstalados, servicios detenidos y deshabilitados, comandos deshecho a través de su rollback declarado. Es solo configuración — declarativa, versionada, y resuelta del más específico al más general, de modo que puede retraer a nivel de flota y mantener un host en present. Del lado del servidor; sin redespliegue del agente. Para un recurso que no puede revertirse automáticamente, Vigo genera un .retract para revisar y publicar.

Convergencia sin conexión

Los agentes almacenan en caché los paquetes de políticas firmados en LMDB. Cuando el servidor no está disponible, la convergencia continúa usando la última política conocida. Los resultados se ponen en cola localmente y se envían al reconectarse.

Modo de observación

Ejecución en seco controlada por el servidor. Por nodo o a nivel de flota. Los agentes informan de qué cambiarían sin aplicar nada. Una ruta de migración segura desde su gestión de configuración existente.

YAML renderizado por envoy mostrando un configcrate cis-ubuntu-access con el recurso de servicio 5.1.1-cron-enabled y el recurso exec 5.1.2-crontab-permissions — exactamente lo que recibió el agente tras la herencia de rutas y la fusión
Configuración renderizada por envoy — sin adivinar qué aplicará el agente
Página de configuración del servidor de Vigo mostrando 11 secciones habilitadas y 29 disponibles — server, database, auth, checkin, watcher, secrets, bootstrap, spanner, tuning, smtp, ai, backup, export, publish, rate_limit, maintenance — cada una con interruptores de activación/desactivación
Configuración del servidor — 29 secciones activables, recarga en vivo

🔒 Cumplimiento y seguridad

22 marcos regulatorios mapeados a controles aplicables. Afirmaciones honestas — Vigo informa de lo que aplica frente a lo que atestigua frente a lo que requiere validación externa.

22 marcos de cumplimiento

HIPAA, SOC 2, PCI DSS v4.0, NIST 800-53, ISO 27001, CIS Benchmarks (Ubuntu, RHEL, Windows), GDPR, NERC CIP, HITRUST, IEC 62443, SOX, FINRA, MiFID II, FDA 21 CFR Part 11, Cyber Essentials Plus, CCSS, UKGC, Nevada GCB, MGA, NY DFS 23 NYCRR 500.

Seguimiento de cumplimiento por envoy

Porcentaje de cobertura del marco por nodo. Explore qué controles se cumplen, cuáles faltan y qué configcrates cerrarían la brecha. Exenciones de cumplimiento con aprobador, motivo y fecha de vencimiento.

Aplicación de benchmarks CIS

Configcrates predefinidos para los benchmarks CIS Ubuntu, RHEL y Windows Server. Más de 260 controles de Nivel 1 y Nivel 2 aplicados mediante recursos idempotentes, no solo escaneados.

Cuantificación del riesgo

Evaluación de riesgos por nodo (0–100) a partir de siete factores ponderados: CVEs, endurecimiento, rootkits, integridad, puertos abiertos, convergencia y conectividad. Panel de riesgos a nivel de flota con minigráficos de tendencia de 30 días.

Análisis de impacto de CVE

Los agentes recopilan datos de CVE de Trivy, Debsecan y Windows Update — deduplicados entre escáneres. Busque en la flota desde la CLI o la interfaz web: qué nodos se ven afectados por un CVE determinado, desglose de gravedad y rutas de remediación. Enriquecimiento opcional de NVD con puntuación CVSS.

Remediación redactada por IA

Haga clic en Ask Claude en cualquier CVE o hallazgo de endurecimiento. El asistente lee el estado de su flota y redacta una estrategia de remediación — el configcrate .vgo exacto a publicar, el orden de actualización, las restricciones de versión y las notas de dependencia. Sin momentos en blanco para su equipo de operaciones.

Agente de verificación Connwaer

Agente independiente para la verificación activa de cumplimiento. Valida controles que no pueden probarse solo mediante aplicación: almacenamiento WORM, calidad de RNG, cifrado en reposo, segmentación de red, ciclo de vida de HSM. 18 capacidades de verificación.

Cajón de detalle de impacto de CVE en Vigo que agrupa 7 paquetes afectados por CVE, con columnas de escáneres Trivy / Debsecan / Lynis / rkhunter / ClamAV / AIDE y botones de remediación con IA

🖥 Acceso remoto (Scrier)

SSH y RDP desde el navegador a través del túnel mTLS existente del agente. Sin VPN, sin bastión, sin reenvío de puertos.

Terminal SSH — navegador o CLI

Terminal completa en el navegador mediante xterm.js — bytes PTY en bruto sobre WebSocket, sin Guacamole para SSH. O ejecute vigocli scrier ssh <envoy> desde su estación de trabajo por el mismo túnel: TTY nativa, cambios de tamaño de ventana, códigos de salida. En cualquier caso, sin puerto entrante en el envoy y sin bastión SSH que administrar.

Escritorio gráfico RDP

Escritorio completo de Windows o Linux mediante Guacamole. Escalado ajustado a la ventana o 1:1 con barras de desplazamiento. Funciona con xrdp en Linux, RDP nativo en Windows.

Credenciales efímeras

Las claves SSH se generan por sesión y nunca se almacenan en el servidor. Mapeo de usuario web a SO mediante CLI. Sin credenciales permanentes en la base de datos de Vigo.

Registro de auditoría

Cada sesión se registra en el log de auditoría a prueba de manipulaciones: quién se conectó, cuándo, qué protocolo, qué envoy. Las sesiones se rastrean y pueden terminar desde el servidor.

Modo Shadow / Assist

Ver y controlar la sesión de escritorio en vivo de un usuario en tiempo real. El soporte técnico puede observar la pantalla del usuario o tomar el control para ayudar. Solicitudes de consentimiento del usuario con políticas configurables (siempre, una vez, nunca). Linux mediante x11vnc, Windows mediante TightVNC.

Cero infraestructura adicional

Scrier hace el túnel a través de la conexión gRPC existente del agente. Sin bastión SSH, sin concentrador VPN, sin jump box. Una superficie de ataque menos que gestionar y auditar.

🔧 Orquestación

Comandos ad hoc, tareas reutilizables, flujos de trabajo en varios pasos y ejecución gradual en toda la flota.

Tareas ad hoc

Envíe comandos a cualquier envoy o grupo de envoys desde la CLI o la interfaz web. Los resultados se transmiten en tiempo real. La validación previa al envío bloquea comandos peligrosos a menos que se especifique --force.

Consultas en vivo

Consulte el estado de la flota en tiempo real. Solicite el uso de disco, procesos en ejecución, versiones de paquetes o cualquier característica en todos los envoys. Los resultados se agregan y devuelven en segundos.

Flujos de trabajo con nombre

Orquestación en varios pasos con ramificación condicional y soporte de cancelación. Defina en YAML, active desde la CLI o la API. Los pasos pueden esperar los resultados antes de continuar.

Ejecución gradual

Divida los objetivos en lotes con tamaño de lote configurable y comprobaciones de estado entre rondas. Si un lote falla, el despliegue se detiene antes de afectar al resto de la flota.

11 integraciones nativas + webhooks a cualquier cosa

Slack, PagerDuty, Opsgenie, Teams, ConnectWise, Autotask, ServiceNow, Splunk, Datadog, Elastic y Loki — más webhooks de salida firmados con HMAC a cualquier otra cosa. Alertas orientadas a eventos para seguridad, cumplimiento, convergencia y rotación de secretos.

Asistente de IA

Haga preguntas sobre su flota en lenguaje natural. Respaldado por Claude, OpenAI u Ollama. El asistente tiene acceso a herramientas para consultar envoys, leer configuraciones, comprobar el cumplimiento y explicar los resultados de convergencia.

Página de integraciones de Vigo mostrando integraciones nativas agrupadas por categoría — Alertas/Chat, ITSM/PSA, SIEM/Observabilidad — con controles de activación/configuración por integración

💻 Infraestructura

Ciclo de vida del hardware, inventario del sistema y visibilidad a nivel de flota.

Funciona detrás de cualquier cortafuegos

Los agentes se conectan de forma saliente al servidor — el servidor nunca se conecta de forma entrante. Portátiles detrás de routers domésticos, VMs detrás de grupos de seguridad, dispositivos móviles en redes móviles — todo funciona sin VPNs, reenvío de puertos ni reglas de cortafuegos. Solo se requieren dos puertos salientes.

50 recopiladores de características

SO, hardware, red, disco, CPU, GPU, firmware, resultados de análisis de seguridad, recuentos de paquetes, TPM, controladores NIC y más. Recopiladores de características personalizados para el inventario específico del sitio. Todas las características disponibles en plantillas y expresiones when:.

Trazado de configuración

Un comando muestra la cadena de resolución completa para cualquier nodo: herencia de rutas, resolución de configcrates, anulaciones de variables, DAG de dependencias, etiquetas de cumplimiento, exenciones y expresiones condicionales — todo trazado hasta el archivo fuente exacto.

Métricas Prometheus

Más de 80 métricas expuestas en /metrics: desglose de convergencia, postura de seguridad (CVEs por gravedad, endurecimiento, rootkits/malware/integridad), distribución de riesgos y contadores de la flota. Cinco paneles de Grafana predefinidos.

Federación hub-spoke (Spanner)

Cuando un servidor no es suficiente, distribuya la inscripción, las consultas y las tareas entre servidores spoke. Cada spoke gestiona su propia flota. El hub agrega. Sin base de datos compartida.

Registro de auditoría a prueba de manipulaciones

Cada acción administrativa — inscripción, revocación, envío de tareas, acceso a secretos, publicación de configuración, sesión de Scrier — registrada en un log de auditoría encadenado por hash. Exporte para evidencia de cumplimiento.

Página de inventario de Vigo con recuentos de la flota (envoys, familias de SO, versiones de SO) y una búsqueda interactiva de características que explora blockdevices.nvme0n1.readonly con resultados por hostname
Inventario de la flota — búsqueda interactiva de características
Página por envoy de Vigo para girlslaptop con estado Converged, fecha de inscripción, pestañas Historial de desviación / Ejecuciones recientes / Características / Ver configuración / Trazado de configuración / Cumplimiento de estándares / Superficie de ataque / Sesiones, y botones de acción SSH / RDP / Shadow
Desglose por envoy — historial de desviación, características, trazado de configuración, acceso remoto

🕸 Entre pares (Swarm)

Una red entre pares exclusiva de envoys — distribución de contenido, sincronización de archivos, git privado, artefactos y un log ordenado, servidos directamente entre sus propias máquinas sin servidor en la ruta de datos.

Swarm — el sustrato P2P

Blobs con direccionamiento por contenido fragmentados por SHA256 y servidos entre pares mediante mTLS, con planificación por rareza, limitación adaptativa del ancho de banda y descubrimiento de pares por multidifusión en LAN. Sin servidor en la ruta de datos — todo lo que sigue funciona sobre Swarm.

Filecast — distribución de archivos iniciada por el administrador

Distribuya cargas útiles arbitrarias del operador a la flota. Siembre un archivo con vigocli swarm filecast distribute (o desde la interfaz de administración) y cada envoy objetivo lo descarga entre pares mediante Swarm. Seguimiento del progreso en tiempo real por envoy con visualización de la fuente de fragmentos.

Longdrawer — sincronización de archivos LAN por usuario

Deje un archivo en ~/longdrawer/ y aparece en todas las demás máquinas donde tiene una cuenta. Elimínelo y desaparece en todas partes. Solo en LAN, completamente entre pares, sin intervención del servidor, sin configuración, sin comandos.

Lockbox — sincronización de archivos cifrados por usuario

Como Longdrawer pero texto cifrado en reposo en cada envoy. Deje un archivo en texto plano en el primario, lockbox lo cifra con la clave pública de cada par y distribuye el texto cifrado. Desbloquee con vigo swarm puddle unlock para descifrar. Elija este para cualquier cosa que quiera que permanezca ilegible en una máquina robada.

Gitback — su código fuente permanece en su red

Si prefiere no subir código propietario a un host git de terceros, Gitback replica sus repositorios en los envoys que ya ejecuta. Ejecute vigo swarm gitback project init en cualquier repositorio; cada push se distribuye como un paquete a sus otros envoys mediante mTLS. Si su estación de trabajo muere, git clone gitback://<your-name>/<repo> desde otra máquina recupera el historial completo. Sin servicio git externo, sin webhooks, sin código fuera de su red.

Curator — registro de artefactos con direccionamiento por contenido

Un registro entre pares para binarios e imágenes de contenedores, arraigado en la identidad de puddle por usuario. Los artefactos tienen direccionamiento por contenido y se sirven entre envoys mediante Swarm — sin registro externo, sin servidor en la ruta de datos.

Poolq — log de solo adición ordenado para la flota

Un log y cola ordenados de solo adición compartidos en toda la flota, arraigados en la identidad de puddle por usuario. Los productores añaden, los consumidores leen en orden — todo entre pares mediante Swarm.

Pruébelo ahora

Gratis para hasta 100 nodos.* Todas las características incluidas. Sin tarjeta de crédito.

Empezar gratis Por qué Vigo

* El nivel gratuito se proporciona TAL CUAL sin obligación de soporte. Consulte los Términos comerciales.